Cybercrime Aanvallen met gijzelsoftware (ransomware), zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?
Bron: nrc.nl
NRC sprak met experts van NFIR, Fox-IT, KPN Security en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld.
Bron: NRC
Zo gijzel je een netwerk, in twaalf stappen
Cybercrime Aanvallen met gijzelsoftware, zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?
Het zou een flauwe mop kunnen zijn: hoe krijg je een systeembeheerder zover om zijn of haar wachtwoord prijs te geven? Boots op een gehackte computer een storing na, waardoor de gebruiker de IT-helpdesk belt. Om deze nepstoring te verhelpen voert de helpdeskmedewerker een beheerderswachtwoord in, daarbij gadegeslagen door de indringer.
Geen mop dus, legt cybersecurityexpert Frank Groenewegen van Fox-IT uit, maar één van de trucs die hackers toepassen als ze zich een weg banen in bedrijfsnetwerken: van de ene computer naar de andere springend, op zoek naar de cruciale plek die toegang biedt tot alle netwerkonderdelen. Om vanaf daar in één handomdraai een complete organisatie te gijzelen. Dat overkwam de Maastricht University vorige maand: net voor de kerstvakantie bleken alle belangrijke bestanden versleuteld en servers geblokkeerd. Inmiddels werken de systemen weer. De universiteit wil berichten dat er tonnen aan losgeld betaald is niet bevestigen. Fox-IT doet ook geen mededelingen over de specifieke hack in Maastricht omdat het bedrijf de aanval nog onderzoekt.
De hack van de universiteit is een voorbeeld van ransomware. Deze vorm van criminaliteit is uitgegroeid tot professioneel maatwerk. Het begon als eenworm die in theorie elke computer kon treffen. Berucht is de uitbraak van WannaCry in 2017. Een variant daarop was NotPetya – een worm, vermomd als ransomware die zich automatisch een weg baande in bedrijfsnetwerken en zo bijvoorbeeld transportbedrijf Maersk platlegde.
Na deze lukrake aanvallen ontdekten cybercriminelen dat er veel te verdienen is aan gerichte ransomware-aanvallen. Hun aanpak lijkt op de manier waarop geavanceerde inbrekers – ethische hackers of spionnen – netwerken penetreren.
Ze kijken waar ze toegang kunnen krijgen en hun slag kunnen slaan. Liefst bij grote bedrijven omdat daar veel geld te verdienen is
Frank Groenewegen Fox-IT
NRC sprak met experts van Fox-IT, KPN Security, NFIR en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Het is jagen op groot wild. „Ze kijken waar ze toegang kunnen krijgen en hun slag kunnen slaan. Liefst bij grote bedrijven omdat daar veel geld te verdienen is”, zegt Groenewegen.
Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld. Groenewegen: „We hebben gezien dat hackers zich langer dan een half jaar verscholen om zeker te zijn dat alle backups gesaboteerd waren.” Dan zit er voor het slachtoffer maar één ding op: betalen.
Een tactisch feestje
Hoe hack je een netwerk? Je kunt de aanpak vergelijken met iemand die als nieuweling op een feestje binnenkomt. Je kent er niemand, maar ziet wel dat het leukste gezelschap zich helemaal aan de andere kant van het feest bevindt, in een aparte ruimte. Om daar binnen te komen, moet je eerst kennismaken met andere feestgangers en hun vertrouwen winnen.
Een manier om de tactiek in kaart te brengen is het aanvalsschema van mitre.org: twaalf verschillende stappen die ook ethische hackers doorlopen om te testen hoe robuust een netwerk is. Dit is een vereenvoudigde samenvatting. In de praktijk worden de stappen vaak gecombineerd of herhaald.
1. Toegang verwerven tot machine
Phishing – een nepmail – is een veelgebruikte methode om computers te hacken, net als kwaadaardige code in websites of webadvertenties. Gekraakte machines worden op grote schaal verhandeld via zogeheten ‘RDP-shops’. Rik van Duijn van KPN Security laat zien op welk soort sites je voor een paar tientjes toegang kunt kopen tot een machine waarbij het remote desktop protocol van Windows open staat voor de buitenwereld en het wachtwoord gekraakt is.
Cybercriminelen kunnen zoeken naar ‘interessante’ gekraakte computers – van bedrijven of instellingen met een grote omzet. Van Duijn vindt al snel een Nederlandse server, in Leeuwarden. Kosten: 16 euro.
2. Uitvoeren in het geheim
De hacker probeert onderhuids scripts en code uit te voeren, zonder ontdekt te worden door de gangbare controlemechanismes. Powershell is een krachtig Windows-gereedschap dat vaak misbruikt wordt. In deze fase wordt al voorzichtig de omgeving van de geïnfecteerde computer verkend, op zoek naar kwetsbaarheden en waardevolle data.
3. Volhouden
Om een veroverde positie te behouden moet de hacker verborgen aanpassingen doen in (opstart-) procedures, gebruikeraccounts of het Windows-register. Een bootkit kan de computer om de tuin leiden vanaf de allereerste start van de harde schijf. Zo houdt de hacker ook na een herstart toegang. In de praktijk is de meeste kwaadaardige software al ‘persistent’.
4. Hogere rechten verwerven
De rechten van een gewone computergebruiker zijn beperkt – de hacker aast op beheerdersrechten op de besmette machine. Bijvoorbeeld door de gebruiker uit te lokken om het beheerderswachtwoord in te voeren of programma’s te dwingen om op een hoger niveau te opereren. Het komt voor dat alle laptops hetzelfde beheerderswachtwoord hebben – zelfs die van de ‘allerhoogste’ systeembeheerder. Een andere truc: de nep-storing om een helpdeskmedewerker naar een besmette pc te lokken.
5. Verdediging omzeilen
Om een antivirussysteem om de tuin te leiden wordt misbruik gemaakt van digitale certificaten, waardoor kwaadaardige software legitiem lijkt. Een andere manier om opsporing te voorkomen is antivirus helemaal uit te schakelen, bestanden te vermommen of code buiten de gebruikersaccount om uit te voeren.
6. Inloggegevens stelen
Wachtwoorden kunnen uit het geheugen van de computer gevist worden, of via keyloggers die elke toetsenbordaanslag opslaan. Zwakke wachtwoorden kun je met brute rekenkracht raden. Vaak slingeren er wachtwoorden in bestanden en scripts op gedeelde netwerkschijven. Met zogeheten tweefactorauthenticatie is alleen een wachtwoord niet voldoende om in te loggen maar er zijn manieren om die extra beveiliging te omzeilen. Een wachtwoordmanager – een kluis voor alle belangrijke inloggegevens – kan te openen zijn, als de hacker achterhaalt wie toegang die kluis heeft.
7. Verkenning van het netwerk
Veel organisaties gebruiken Active Directory van Microsoft om hun netwerk in te richten. Hoe beter de cruciale netwerkonderdelen van de gewone gebruikersaccount gescheiden zijn, hoe lastiger het voor inbrekers wordt. De hacker inventariseert of er meerdere netwerkdomeinen zijn, gaat op zoek naar de onderlinge vertrouwensrelaties, scant servers op bekende kwetsbaarheden en open poorten, zoekt naar gebruikte clouddiensten, accountnamen, wachtwoordbeleid en actieve beveiligingssystemen. Hiervoor worden dezelfde gereedschappen gebruikt die ethische hackers inzetten voor netwerktests.
8. Sprong naar ander systeem
Met een ‘laterale beweging’ in een netwerk zoekt de hacker naar een andere computer met hogere rechten. De hacker installeert bijvoorbeeld software voor beheer op afstand, of gebruikt bestaande gegevens om minder op te vallen. Via spearphishing (nepmail verzonden vanaf de computer van een vertrouwde collega) kan een buitenstaander toch op de computer van een systeembeheerder komen. Als er geen verbinding met het internet is kan kwaadaardige software via een usb-stick toch op andere pc’s belanden.
9. Data verzamelen
De hacker probeert informatie te verzamelen: waardevolle documenten, mail, toetsenbordaanslagen, audio- en video-opnames en schermafbeeldingen. Voor ransomware moet de hacker weten wat het backup-beleid is en hoe lang het duurt voordat de fysieke backups op tape onklaar gemaakt kunnen worden. Backups in de cloud zijn ook niet veilig, als de wachtwoorden vindbaar zijn.
10. Beheer op afstand
Om controle te houden over het netwerk moet de hacker op afstand commando’s versturen zonder dat dat opvalt in het netwerk. Bijvoorbeeld door veelgebruikte netwerkpoorten te kiezen, dataverkeer te versleutelen of onzindata toe te voegen. Ook de oorsprong van het netwerkverkeer kan verdoezeld worden om te voorkomen dat monitoringsystemen de command & control-server ontdekken en blokkeren. Overigens draait op lang niet alle bedrijfsnetwerken adequate monitorsoftware.
11. Data verzamelen
Als hackers van plan zijn (ook) data te stelen worden de gegevens in het geheim verzameld en verpakt in kleinere bestanden door middel van compressie. Deze gegevens worden vaak in kleine delen opgeknipt en versleuteld verstuurd, om niet op te vallen in het overige netwerkverkeer.
12. De aanslag
Na al het verborgen werk slaan de hackers toe, liefst op een rustig tijdstip. Het encryptieproces kan al in een paar uur achter de rug zijn. In het geval van ransomware worden processen afgesloten, zodat alle bestanden versleuteld kunnen worden. In elke map blijft een leesbaar document achter met het verzoek om losgeld te betalen. Hetzelfde beheergereedschap dat gebruikt wordt om honderden werkplekken tegelijk te configureren, wordt nu ingezet om alle bestanden te versleutelen.
Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk
Arwi van der Sluijs NIFR
Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team.
Penetratietest laten uitvoeren?
Beveiligingsincident? Welke acties neemt u direct?
Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team.
NFIR staat 24/7 voor haar opdrachtgevers klaar om elk beveiligingsincident in kaart te brengen en op te lossen. Ons Incident Response team doet haar uiterste best om binnen drie uur bij u op locatie te zijn. Het doel van het incident response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.
Lees verder over ons incident response team om u te helpen bij een ransomware aanval.
Penetratietests door onze gecertificeerde experts
Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.
Laat de weerbaarheid van uw (web)applicatie, website, IT-infrastructuur, koppelingen (API’s) en mobiele apps controleren door een penetratietest van NFIR.
Wat is security monitoring?
De visie van NFIR op security monitoring is dat deze dienst niet langer moet zijn voorbehouden aan de allergrootste bedrijven in Nederland met veel security kennis. De security monitoring dienst van NFIR biedt om die reden een zeer betaalbare en gemakkelijk te interpreteren oplossing voor het MKB (bedrijven met 50 tot 500 medewerkers).
NFIR biedt een 100% geautomatiseerde oplossing om uw netwerk activiteiten te monitoren. U krijgt kritische meldingen direct via email of sms binnen en u kunt daarop zelf actie ondernemen. Indien gewenst kunnen onze Security Monitoring specialisten uw organisatie ondersteunen bij het nemen van deze acties. Daarnaast kunnen wij u ook ontzorgen bij het interpreteren van de (complexere) meldingen. Als het echt verkeerd gaat, kunnen wij u op elke locatie ondersteunen met onze Incident Response teams.